-
Junior Member
- Вес репутации
- 53
backdoor.tdss.565
после загрузки и последующего запуска файла, было заражено большенство .exe и .scr файлов win32.virut.56, в безопасном режиме вылечился curit'ом, но в процессах drweb обнаруживал backdoor.tdss.565. Далее на автомате с браузера пошла загрузка get accelerator, после чего вылезло окошко об его активации через смс, доступа к интернету не было, проверялся всеми возможными антивирусами (curit, avz, avp) не видели никаких вредных файлов, пока не нашел у себя на жестком программу spyware process detector, проверился drweb, посмотрев в каком процессе висит бэкдор сразу же посмотрел с какими модулями работал тот процесс, в сэйф моде вручную удалил файл вида {}.dll и подозрительные файлы созданные по дате установке get accelerator окошко пропало доступ к интернету появился, но backdoor не уходит до сих пор висит в процессах, drweb его обнаруживает и обезвреживает, но буквально через 10 секунд при повторной проверке снова появляется в другом процессе. сейчас уже начинают появлятся в system32 другие файлы winupdate при котором на рабочем столе появляется обоина с предупреждением о вредном по и помощи в загрузки антивируса, я его удаляю из процессов. в общем помогите избавиться от этого бэкдора и остальной заразы
edit:проверки avz делал с драйвером расширенного мониторинга процессов
Последний раз редактировалось Rene-gad; 19.10.2009 в 17:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\87680029\87680029.exe','');
QuarantineFile('C:\WINDOWS\system32\winupdate.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\mIRC-6.35.rar','');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Загрузки\mIRC-6.35.rar');
DeleteFile('C:\WINDOWS\system32\winupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winupdate.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
до или после выполнения скрипта?
-
-
-
Junior Member
- Вес репутации
- 53
заметил подозрительную вещь, при попытки скачать .exe файл gmer мозилла "впихивала" .exe файлы с набором символов и цифр с пустой иконкой.
файлы карантина отослал, лог gmer прилагается)
Последний раз редактировалось chiz1; 19.10.2009 в 19:58.
-
Замените C:\WINDOWS\system32\drivers\atapi.sys на чистый из-под liveCD
-
-
Junior Member
- Вес репутации
- 53
новые логи, до замены с livecd, днем сделаю замену
и вот скрины мозилы на всякий случай
-
Сообщение от
chiz1
и вот скрины мозилы на всякий случай
Это рандомное имя гмера, дабы звери не блокировали запуск по имени
Left home for a few days and look what happens...
-
-
Это гмер Без замены логи бесполезны.
-
-
Junior Member
- Вес репутации
- 53
я уж испугался
завтра сделаю замену и логи сделаю
-
Junior Member
- Вес репутации
- 53
atapi.sys заменил бэкдор больше не вылазит
логи прилагаются
диспетчер все еще отключен
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
ExecuteRepair(11);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Диспетчер задач заработал?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
AndreyKa
Диспетчер задач заработал?
да спасибо
Последний раз редактировалось Rene-gad; 20.10.2009 в 18:30.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\мои документы\загрузки\mirc-6.35.rar - not-a-virus:Client-IRC.Win32.mIRC.g
- c:\windows\system32\winupdate.exe - Trojan-Downloader.Win32.FraudLoad.fva
-